Skenario: peering BGP dengan hub virtual
Router hub Azure Virtual WAN, juga disebut sebagai router hub virtual, bertindak sebagai pengelola rute dan memberikan penyederhanaan dalam operasi perutean di dalam dan di seluruh hub virtual. Dengan kata lain, router hub virtual melakukan hal berikut:
- Menyederhanakan manajemen perutean dengan menjadi mesin perutean pusat yang berkomunikasi dengan gateway seperti VPN, ExpressRoute, P2S, dan Network Virtual Appliances (NVA).
- Memungkinkan skenario perutean lanjutan dari tabel rute kustom, asosiasi, dan propagasi rute.
- Bertindak sebagai router untuk lalu lintas transit antara/ke jaringan virtual yang terhubung ke hub virtual.
Router hub virtual sekarang juga mengekspos kemampuan untuk peering dengannya, sehingga bertukar informasi perutean langsung melalui protokol perutean Border Gateway Protocol (BGP). NVA atau titik akhir BGP yang disediakan dalam jaringan virtual yang terhubung ke hub virtual, dapat langsung peering dengan router hub virtual jika mendukung protokol perutean BGP dan memastikan bahwa ASN pada NVA diatur agar berbeda dari ASN hub virtual.
Manfaat dan pertimbangan
Manfaat utama
- Anda tidak perlu lagi memperbarui tabel perutean secara manual pada NVA Anda setiap kali alamat jaringan virtual Anda diperbarui.
- Anda tidak perlu lagi memperbarui rute yang ditentukan pengguna secara manual setiap kali NVA mengumumkan rute baru atau menarik rute lama.
- NVA dalam jaringan virtual yang terhubung ke hub virtual dapat mempelajari rute gateway hub virtual (VPN, ExpressRoute, atau Managed NVA).
- Anda dapat melakukan peering beberapa instans NVA Anda dengan router hub virtual. Anda dapat mengonfigurasi atribut BGP di NVA dan, tergantung pada desain Anda (aktif-aktif atau aktif-pasif), memberi tahu router hub virtual instans NVA mana yang aktif atau yang pasif.
Pertimbangan
Anda hanya dapat mengintip router hub virtual dengan NVA yang disebarkan di VNet yang terhubung langsung.
- Mengonfigurasi peering BGP antara NVA lokal dan router hub virtual tidak didukung.
- Mengonfigurasi peering BGP antara Azure Route Server dan router hub virtual tidak didukung.
Router virtual hub hanya mendukung 16-bit (2 byte) ASN.
Koneksi jaringan virtual yang memiliki titik akhir koneksi NVA BGP harus selalu dikaitkan dan disebarkan ke defaultRouteTable. Tabel rute kustom saat ini tidak didukung.
Router hub virtual mendukung konektivitas transit antara jaringan virtual yang terhubung ke hub virtual. Ini tidak ada hubungannya dengan fitur ini untuk kemampuan peering BGP karena Virtual WAN sudah mendukung konektivitas transit. Contoh:
- VNET1: NVA1 yang terhubung ke Hub Virtual 1 -> (konektivitas transit) -> VNET2: NVA2 terhubung ke Hub Virtual 1.
- VNET1: NVA1 yang terhubung ke Hub Virtual 1 -> (konektivitas transit) -> VNET2: NVA2 terhubung ke Hub Virtual 2.
Anda dapat menggunakan ASN publik atau ASN privat Anda sendiri di appliance virtual jaringan Anda. Anda tidak dapat menggunakan rentang yang dicadangkan oleh Azure atau IANA. ASN berikut dicadangkan oleh Azure atau IANA:
- ASN yang dicadangkan oleh Azure:
- ASN Umum: 8074, 8075, 12076
- ASN Privat: 65515, 65517, 65518, 65519, 65520
- ASN dicadangkan oleh IANA: 23456, 64496-64511, 65535-65551
- ASN yang dicadangkan oleh Azure:
Sementara router hub virtual bertukar rute BGP dengan NVA Anda dan menyebarkannya ke jaringan virtual Anda, secara langsung memfasilitasi penyebaran rute dari jaringan lokal melalui gateway yang dihosting hub virtual (Gateway VPN/Gateway ExpressRoute/Gateway yang dikelola NVA).
Peering BGP hanya didukung dengan alamat IP yang ditetapkan ke antarmuka NVA. Peering dengan loopback tidak didukung.
Router hub virtual memiliki batasan berikut:
Sumber daya Batasan Jumlah rute yang dapat dieritahukan setiap rekan BGP ke hub virtual. Hub hanya dapat menerima jumlah maksimum 10.000 rute (total) dari sumber dayanya yang terhubung. Misalnya, jika hub virtual memiliki total 6000 rute dari hub virtual, cabang, jaringan virtual yang terhubung dll., maka ketika peering BGP baru dikonfigurasi dengan NVA, NVA hanya dapat memberitahukan hingga 4000 rute. Jumlah serekan BGP Maksimum 8 rekan BGP dapat dihubungkan ke satu Hub Virtual WAN Rute dari NVA dalam jaringan virtual yang lebih spesifik daripada ruang alamat jaringan virtual, ketika diiklankan ke hub virtual melalui BGP tidak disebarluaskan lebih jauh ke lokal.
Saat ini kami hanya mendukung 4.000 rute dari NVA ke hub virtual.
Lalu lintas yang ditujukan untuk alamat di jaringan virtual yang terhubung langsung ke hub virtual tidak dapat dikonfigurasi untuk merutekan melalui NVA menggunakan peering BGP antara hub dan NVA. Hal ini karena hub virtual otomatis mempelajari rute sistem yang terkait dengan alamat di jaringan virtual spoke saat koneksi jaringan virtual spoke dibuat. Rute sistem yang dipelajari secara otomatis ini lebih disukai daripada rute yang dipelajari oleh hub melalui BGP.
Peering BGP antara NVA di VNet spoke dan hub virtual aman (hub dengan solusi keamanan terintegrasi) didukung jika Niat Perutean dikonfigurasi di hub. Fitur peering BGP tidak didukung untuk hub virtual aman di mana niat perutean tidak dikonfigurasi.
Agar NVA dapat bertukar rute dengan situs yang terhubung dengan VPN dan ER, perutean cabang ke cabang harus diaktifkan.
Saat mengonfigurasi peering BGP dengan hub, Anda akan melihat dua alamat IP. Peering dengan kedua alamat ini diperlukan. Tidak melakukan peering dengan kedua alamat dapat menyebabkan masalah perutean. Rute yang sama harus diiklankan ke kedua alamat ini. Mengiklankan rute yang berbeda akan menyebabkan masalah perutean.
Alamat IP hop berikutnya pada rute yang diiklankan dari NVA ke server rute HUB virtual harus sama dengan alamat IP NVA, alamat IP yang dikonfigurasi pada peer BGP. Memiliki alamat IP berbeda yang diiklankan sebagai hop berikutnya TIDAK didukung untuk Virtual WAN saat ini.
Skenario peering BGP
Bagian ini menjelaskan skenario di mana fitur peering BGP dapat digunakan untuk mengonfigurasi perutean.
Konektivitas VNet transit
Dalam skenario ini, hub virtual bernama "Hub 1" terhubung ke beberapa jaringan virtual. Tujuannya adalah untuk membangun perutean antara jaringan virtual VNET1 dan VNET5.
Langkah konfigurasi tanpa peering BGP
Langkah-langkah berikut diperlukan ketika peering BGP tidak digunakan pada hub virtual:
Konfirgurasi hub virtual
- Pada defaultRouteTable Hub 1, konfigurasikan rute statis untuk VNET5 (subnet 10.2.1.0/24) yang mengarah ke koneksi VNET2.
- Pada koneksi jaringan virtual Hub 1 untuk VNET2, konfigurasikan rute statis untuk VNET5 yang mengarah ke IP NVA VNET2 (subnet 10.2.0.5).
- Pada Hub 1, sebarkan rute dari koneksi untuk VNET1 dan VNET2 ke defaultRouteTable, dan kaitkan rute tersebut dengan defaultRouteTable.
Konfigurasi jaringan virtual
- Pada VNET5, siapkan rute yang ditentukan pengguna (UDR) untuk mengarahkan ke IP NVA VNET2.
Langkah konfigurasi dengan peering BGP
Dalam konfigurasi sebelumnya, pemeliharaan rute statis dan UDR dapat menjadi rumit jika konfigurasi VNET5 sering berubah. Untuk mengatasi tantangan ini, peering BGP dengan fitur hub virtual dapat digunakan dan konfigurasi perutean harus diubah ke langkah-langkah berikut:
Konfirgurasi hub virtual
- Pada Hub 1, konfigurasikan NVA VNET2 sebagai rekan BGP. Konfigurasikan juga NVA VNET2, agar peering BGP dengan Hub 1.
- Pada Hub 1, sebarkan rute dari koneksi untuk VNET1 dan VNET2 ke defaultRouteTable, dan kaitkan rute tersebut dengan defaultRouteTable.
Konfigurasi jaringan virtual
- Pada VNET5, siapkan rute yang ditentukan pengguna (UDR) untuk mengarahkan ke IP NVA VNET2.
Rute efektif
Tabel berikut ini memperlihatkan beberapa entri dari rute efektif Hub 1 di defaultRouteTable. Perhatikan bahwa rute untuk VNET5 (subnet 10.2.1.0/24) dan ini memastikan VNET1 dan VNET5 dapat berkomunikasi satu sama lain.
Prefiks tujuan | Lompatan berikutnya | Asal | Jalur ASN |
---|---|---|---|
10.2.0.0/24 | eastusconn | ID koneksi VNet | - |
10.2.1.0/24 | ID koneksi rekan BGP untuk NVA | ID koneksi rekan BGP untuk NVA | 65510 |
10.4.1.0/24 | Hub 2 | Hub 2 | - |
Mengonfigurasi perutean dengan cara ini menggunakan fitur menghilangkan kebutuhan untuk entri rute statis pada hub virtual. Oleh karena itu, konfigurasinya lebih sederhana dan tabel rute diperbarui secara dinamis ketika konfigurasi dalam jaringan virtual yang terhubung (seperti VNET5) berubah.
Konektivitas VNet Cabang
Dalam skenario ini, situs lokal bernama "NVA Branch 1" memiliki VPN yang dikonfigurasi untuk berakhir pada NVA VNET2. Tujuannya adalah untuk mengkonfigurasi perutean antara NVA Branch 1 dan jaringan virtual VNET1.
Langkah konfigurasi tanpa peering BGP
Langkah-langkah berikut diperlukan ketika peering BGP tidak digunakan pada hub virtual:
Konfirgurasi hub virtual
- Pada defaultRouteTable Hub 1, konfigurasikan rute statis untuk NVA Branch 1 yang mengarah ke koneksi VNET2.
- Pada koneksi jaringan virtual Hub 1 untuk VNET2, konfigurasikan rute statis untuk NVA Branch 1 yang mengarah ke IP NVA VNET2 (10.2.0.5).
- Pada Hub 1, sebarkan rute dari koneksi untuk VNET1 dan VNET2 ke defaultRouteTable, dan kaitkan rute tersebut dengan defaultRouteTable.
Konfigurasi jaringan virtual
- Peering BGP antara NVA VNET2 dan NVA Branch 1, dan iklan rute untuk VNET1 dari NVA VNET2 ke NVA Branch 1.
Langkah konfigurasi dengan peering BGP
Seiring berjalannya waktu, prefiks destinasi di NVA Branch 1 dapat berubah, atau mungkin ada banyak situs web seperti NVA Branch 1, yang membutuhkan konektivitas ke VNET1. Ini akan membuat perlunya pembaruan pada rute statis pada Hub 1 dan koneksi VNET2, yang bisa menjadi rumit. Dalam kasus seperti itu, kita dapat menggunakan peering BGP dengan fitur hub virtual dan langkah-langkah konfigurasi untuk konektivitas perutean akan seperti yang dijelaskan di bawah ini.
Konfirgurasi hub virtual
- Pada Hub 1, konfigurasikan NVA VNET2 sebagai rekan BGP. Konfigurasikan juga NVA VNET2, agar peering BGP dengan Hub 1.
- Pada Hub 1, sebarkan rute dari koneksi untuk VNET1 dan VNET2 ke defaultRouteTable, dan kaitkan rute tersebut dengan defaultRouteTable.
Konfigurasi jaringan virtual
- Peering BGP antara NVA VNET2 dan NVA Branch 1, dan iklan rute untuk VNET1 dari NVA VNET2 ke NVA Branch 1.
Rute efektif
Tabel di bawah ini menunjukkan beberapa entri dari rute efektif Hub 1 di defaultRouteTable. Perhatikan bahwa rute untuk NVA Branch 1 (subnet 192.168.1.0/24) dipelajari melalui peering BGP dengan NVA.
Prefiks tujuan | Lompatan berikutnya | Asal | Jalur ASN |
---|---|---|---|
10.2.0.0/24 | eastusconn | ID koneksi VNet | - |
192.168.1.0/24 | ID koneksi rekan BGP untuk NVA | ID koneksi rekan BGP untuk NVA | 65510 |
Untuk mengelola perubahan jaringan di NVA Branch 1 atau membangun konektivitas antara situs baru seperti NVA Branch 1, tidak ada konfigurasi tambahan yang diperlukan pada Hub 1 karena peering BGP antara Hub 1 dan NVA akan secara dinamis memperbarui tabel rute. Oleh karena itu, konfigurasi dan pemeliharaan disederhanakan.